Docker Remote API未授权访问

匿名者  1596天前

       近期有白帽子提交关于Docker Remote API未授权访问漏洞,其中不乏大型互联网厂商中招,具体的漏洞原因是因为docker swarm,这是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集群的管理和扩展,由docker官方提供,本次危害主要就是在于部署运维人员在部署docker swarm的时候绑定的是0.0.0.0的地址,且直接把服务公开于公网上,所以导致能利用这一接口直接控制docker集群,通过恶意利用甚至能直接影响到宿主机的安全。通过api直接查看容器状态

Clipboard Image.png

通过api能对docker直接进行所以操作,几乎和docker CLI一样,例如直接查看容器里的进程

Clipboard Image.png

影响


攻击者可以利用该漏洞执行docker命令,获取敏感信息,并获取服务器root权限,甚至能影响到宿主机安全.

目前在从shodan搜索的结果看受影响的机器还不少,测了一些基本都可以利用,其中还有不少大型互联网企业中招。

后续修复

可以参考官网的文档增加身份验证,当然最好的防范措施还是把docker swarm限制外部访问,不要将端口直接暴露在公网,内网中使用需要设置严格的访问规则。

https://docs.docker.com/engine/reference/api/docker_remote_api/#authentication

最新评论

gggggg11  :  写得好
1555天前 回复
用户名已经被注册  :  wnvCpgrV
1519天前 回复
用户名已经被注册  :  wnvCpgrV
1519天前 回复
昵称
邮箱
提交评论